趋势科技10月病毒回顾：病毒总数同比增22%

　　黑客或病毒作者越来越不再满足因攻击显著目标而声名大噪的“虚名”，转向追求更多的实质利益：贩售计算机控制权、出售私密数据。

　　网络安全软件和服务领域的世界领导者----趋势科技(纳斯达克代码：TMIC；东京证交所代码：4704)公布了10月病毒分析情况。根据趋势科技全球防毒研发暨技术支持中心--- TrendLabs 最新出炉的“10 月恶意程序分析报告”指出：10月份总共发现了1,817 个恶性程

心情日记 人生处方 05年火项目赚钱最快！ 全心服务中国近视人群 我用UC，何需电话

序，比 9 月份共上升了 22%。其中近进一半是木马程序，其次是蠕虫与后门程序，而具有遥控受害人计算机能力的 bot 程序，占蠕虫比例的近 8成。趋势科技观察发现，有些黑客会将自己创作的恶意程序放入黑客论坛或在线会议所在地兜售，近来 bot 遥控程序有瞄准金融机构的迹象。恶意攻击者会将自感染的机器窃取财物私密数据，贩售获利，或是贩卖已遭 bot 遥控程序入侵的系统控制权。

　　趋势科技在 9 月的分析报告中，就指出黑客或病毒作者已不再满足因攻击显著目标而声名大噪的”虚名”，愈来愈多的案件指出，他们转向追求更多的实质利益。10月这种迹象更加显著，新侦测到的木马程序占所有恶性程序的近一半比例(47%)，且总数较上个月多了将近 200 个，上升 30%。与前述预测呼应的是，bot 遥控程序仍占 10 月蠕虫中压倒性的比例。

　　趋势科技表示10月新侦测到的蠕虫总数仅次于木马，它们占了近 30%的恶意程序比例，其中更有 75% 属于可以组成“僵尸”计算机、发动不法攻击的 bot 遥控程序。趋势科技表示：“bot 是robot 机器人的简称，顾名思义是一个可以像机器人一样远程控制的程序。bot 遥控程序通常也是后门程序的组件之一，它可让不法使用者远程取得系统控制权，另外，为了加强兹生繁衍能力， bot 也会入侵已知的漏洞。攻击者只要向 bot 遥控程序发送指令，被控制的每一台计算机都会为攻击者不停的寻找漏洞计算机，然后不断地进行复制，让这个漏洞计算机也成为机器人网络/僵尸网络的一部份。”

　　10月中有一家中国本地的防毒厂商首页被”黑”，由黑客设计的页面取代，该攻击中国安全厂商的黑客在投案时说明犯罪动机，表明是因为自己写的木马程序被防毒软件破解，无法贩售得利，而展开报复行动。趋势科技TrendLabs 资深安全顾问 Jamz Yaneza 忧心地说：“DoS 攻击的案例将会有增无减，因为被 bot 遥控程控的僵尸计算机部队仍然持续地对没有防护措施的计算机发攻击。我们不排除bot 程序入侵系统所组成的僵尸计算机部队，有针对金融机构发动 DDoS (distributed denial of service)的可能性。”

　　趋势科技的报告中还指出以下几个现象：

　　-10月 震荡波Sasser 的感染率明显地下降了，也自趋势科技十大病毒排行榜里退席，这反应了大多数的机器都已经安装了窗口 LSSAS 修正程序，使得靠漏洞攻击的 Sasser 找不到目标。

　　- 网络天下NetSky 家族系列仍高占十大病毒 6 个席次，其中NetSky.P 高居本月感染冠军。自三月以来该病毒感染了全球超过 200 万的用户，超过 Sasser 感染总数的 3 倍之多。可见利用“社会工程学”(social engineering)人性弱点启动的病毒，生命力依旧强韧。

　　-十大病毒的第二名 PE_ZAFI.B，尽管在 6月PE_ZAFI.B感染率呈现下降的现象， PE_ZAFI.B 在现身后 5 个月仍为主要感染病毒列表中的常客，趋势科技表示它难缠的主因，是借着“社会工程学”技巧(social engineering)引发惊人繁殖力，这点跟历久不坠的 NetSky 很雷同。PE_ZAFI.B 借着大量扫射的 Mail ，经过包装的内容，诱使受害者点击看似色情图片、语音信息或是电子贺卡的附件。另外它也使用 peer-to-peer 文件交换网络，取个广受欢迎程序的名字，将自己放入文件共享数据夹内，等待受害者上钩。

　　-沉寂了一阵子的MYDOOM和 BAGLE在 10 月再度复活。 MYDOOM新变种，在程序代码字符串里透露对于Sasser 作者受雇于某 IT 厂商表达他的看法;而 Bagle. Ej仅是在 1 0月就有15 个新变种，其中 Bagle_AU 与Bagle_AT 分别于 10月29日与10月30日再度启动中度病毒警戒。趋势科技表示：“同一个病毒在不到24小时内释出第二只变种，的确不太寻常，有可能是病毒想测试哪一只散播的能力比较强。”目前Bagle_AT 以美国、意大利、日本为主要感染区，中国大陆和台湾地区也有零星灾情;而Bagle_AU 则大部分集中在美国。

　　-微软 10月 12 日发布的 10 个安全公告，有 8 个利用远程执行程序代码的漏洞，2个星期后， HKTL_MS04-032 即是入侵未安装 MS04-032补丁程序以远程执行恶性程序的病毒。

　　震荡波(SASSER) 找不到漏洞机器，攻击减缓

　　网络天下(NETSKY)靠“人性弱点”攻城略地

　　自9月25到10月25日期间， 趋势科技 TrendLabs 全球病毒实时监控中心WTC (World Virus Tracking Center)所追踪的前10大病毒感染率较上个月下降约20%，但某些特定的病毒尤其是WORM_NETSKY.P感染率反而不降反升。

10月十大病毒，资料来自趋势科技全球病毒监控中心WTC

　　经过连续3 个月的称霸，毒王 Sasser 似乎有减缓攻击的迹象，趋势科技 TrendLabs 表示：“这意味着大部分的机器都已经将LSASS 漏洞修补好了,以致于Sasser 找不到迫害目标。相反的，NETSKY的感染率本月成长30%，接管了毒王位置。自三月以来该病毒感染了全球超过200万的用户，超过Sasser感染总数的3倍之多。

　　除了WORM_NETSKY.P 外,其它4个NETSKY 变种也列入前十大病毒，占十大病毒的感染率的近半数。如下图所示，NetSky 的感染高峰在 4 月初，在持续下降数月后，10月 NetSky 反弹到了400,000 感染数目左右,将近于高峰期的1/5。

　　TrendLabs 表示，NetSky之所以持续繁衍，在于它充分地使用了一般人们克制不住开启 email 附件的好奇心，多数人那怕是来路不明的发信者，还是难抵一窥究竟的冲动。不同于 SASSER 由漏洞衍生， NetSky 可说是充分利用“人性弱点”大量滋生的蠕虫。

　　木马和 bot 遥控程序持续成长，恶性程序转向“利”多

　　TrendLabs 在10月份共发现 1,817 个恶意程序， 相较于上个月成长 22% 。 近几个月来，趋势科技侦测到愈来愈多的木马程序，在每月侦测到的恶意程序中，高居主要感染形式。十月木马程序较上个月上升 30%，而且高居所有恶性程序的 47%。若加上backdoor 后门程序，那么木马程序几乎占所有恶性程序比例中的 65%。

　　蠕虫是仅次于木马的病毒型态，它们占了近 30%的恶意程序比例，其中 75% 属于可以组成僵尸计算机、发动不法攻击的 bot 遥控程序。bot 遥控程序通常也是后门程序的组件之一，它可让不法使用者远程取得系统控制权，另外，为了加强兹生繁衍能力， Bot 也会入侵已知的漏洞。

　　会删除文件的PE_ZAFI.B 连续 5个月蝉联亚军

　　去年 7 月 PE_ZAFI.B 挟着破坏文件的攻击力，一出现就登上趋势科技全球病毒实时监控中心WTC (World Virus Tracking Center)的最高感染率，遥遥领先榜上 NETSKY 系列的六个变种病毒，自此都未曾至十大病毒排行榜的第二名席次中下滑。尽管在 6月PE_ZAFI.B感染率呈现下降的现象， PE_ZAFI.B 在现身后 5 个月仍为主要感染病毒列表中的常客，趋势科技表示它难缠的主因，是借着社会工程学技巧(social engineering)引发惊人繁殖力，这点跟历久不坠的 NetSky 很雷同。

　　相较于9月， PE_ZAFI.B 感染率下降了 35%，也仅占 6 月感染数量的 30%，不过它的破坏力却是不容小觑的。PE_ZAFI.B 会覆写任一文件夹中的 .EXE 文件，并且将病毒程序复制入该文件夹，且文件名与被删除的文件名一模一样。正在运作的程序，若含有 “regedit” “msconfig” 和 “task”也将被立即删除。

　　MYDOOM 和 BAGLE 再度复苏,谨防病毒爆发

　　10月 MYDOOM 和 BAGLE 释出的新变种：WORM_BAGLE.AU 和 WORM_MYDOOM.AA.，造成了新闻焦点。MYDOOM 曾在今年初造成病毒爆发，WORM_MYDOOM.AA在病毒码中留下的字符串，让其声名大噪：

　　Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-secure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol.

　　除了威胁防毒软件公司外，其字符串中也对仍在等待审判的 Sasser 和 NetSky 作者Sven Jaschan获得德国一家名为SecurePoint 公司雇用为实习生，发表意见。

　　总共启动过1 3个中度风险警戒的BAGLE，是本年度启动最多病毒爆发事件的病毒，10月更追加滋生 15 个新变种。最近的一次 Bagle 启动的病毒爆发是在8月 31 日由WORM_BAGLE.AI 导致的。过去 10 个月中有 6 个月 Bagle 至少引发一次病毒警戒。10月底 Bagle_AU 与Bagle_AT 分别再度启动中度病毒警戒，使得本年度的病毒爆发次数累计至第28个。

　　微软公布漏洞后，两周后恶意程序随即攻之

　　微软 10月 12 日发布的 10 个安全公告，有 8 个利用远程执行程序代码的漏洞，2个星期后， HKTL_MS04-032 即是入侵未安装 MS04-032修正程序 藉以远程执行恶性程序的病毒。Graphics Rendering Engine 漏洞存在于绘制 .WMF 和 .EMF 影像文件的程序代码，可能会让攻击者从远程执行程序。只要是系统有这个漏洞，任何绘制这类影像的应用程序都可能会受到攻击。一旦攻击成功，攻击者就可以通过这个漏洞完全掌控系统。

　　HKTL_MS04-032 是一个控管端的黑客程序，它通过搜集 EMF 文件来入侵Graphics Rendering Engine 漏洞，它在微软公布漏洞的 10 天后现身。无论在数据夹里预览小图或是手动开启该图片，该病毒都会入侵。